A VMware cég biztonsági frissítéseket adott ki, hogy orvosolja azokat a nulladik napi (zero-day) sebezhetőségeket, amelyeket egymásba fűzve felhasználva kód végrehajtása érhető el azokon a Workstation és Fusion rendszereken, amelyeket nem frissítettek a legújabb javításokkal. A két hiba része volt a Pwn2Own Vancouver 2023 rendezvényen bemutatott sérülékenységi láncnak, amelyet a STAR Labs csapata biztonsági kutatói mutattak be egy hónapja a hackerverseny második napján. A szállítóknak 90 nap áll rendelkezésre a kihasznált és közzétett zero-day hibák javítására a Pwn2Own előtt, mielőtt a Trend Micro Zero Day Initiative közzéteszi a műszaki részleteket.
Az első sebezhetőség (CVE-2023-20869) egy veremalapú pufferek túlcsordulási sebezhetőség a Bluetooth eszközmegosztási funkcióban, amely lehetővé teszi a helyi támadóknak, hogy végrehajtsák a kódot a virtuális gép VMX folyamata futásakor a hoston. A szintén javított második hiba (CVE-2023-20870) egy információkiszivárgási sebezhetőség a Bluetooth eszközök megosztási funkcionalitásában, amely lehetővé teszi a rosszindulatú szereplőknek, hogy olvassanak a hypervisor memóriájában található privilégizált információkból egy VM-ből.
A VMware azoknak az adminisztrátorok számára is megosztott egy elkerülő megoldást, akik nem tudják azonnal telepíteni a két hiba javítását rendszereikre. Az támadási vektor eltávolításához a Bluetooth támogatást is kikapcsolhatja a virtuális gépen az érintett eszközökön a "Bluetooth eszközök megosztása a virtuális géppel" opció kijelölés törlésével.
A vállalat ezen kívül még további két biztonsági hibát javított a VMware Workstation és Fusion szoftvereket érintően. A CVE-2023-20871 magas súlyosságú VMware Fusion Raw Disk helyi jogosultságnövelési sebezhetőség, amelyet azok az akár írási, illetve olvasási jogosultsággal rendelkező támadók kihasználhatnak, akik hozzáféréssel rendelkeznek az operációs rendszerhez, hogy jogosultságokat növeljenek, és root-hozzáférést szerezzenek az operációs rendszeren. A negyedik hiba (CVE-2023-20872) egy "határon túli olvasási és írási sebezhetőség" a SCSI CD/DVD eszközemulációban, amely mind a Workstation, mind a Fusion termékeket érinti. Ezt kihasználhatálva a helyi támadók, akik hozzáférhetnek a VM-hez egy fizikai CD/DVD meghajtóval, amelyet virtuális SCSI vezérlővel konfiguráltak, hogy a kódot végrehajtsák a hypervisoron keresztül a VM-ből.
A CVE-2023-20872 átmeneti megoldása, amely blokkolja a kihasználási kísérleteket, adminisztrátoroknak az javasolják, hogy "távolítsák el a CD/DVD eszközt a virtuális gépből, vagy konfigurálják a virtuális gépet úgy, hogy ne használjon virtuális SCSI vezérlőt".
Sűrűn jönnek mostanában a javítások a VMware rendszereihez, hiszen pár nappal korábban szintén javítottak egy kritikus vRealize Log Insight sebezhetőséget, amely lehetővé teszi azonosítatlan támadók számára, hogy távoli végrehajtást (RCE) érjenek el a sebezhető készülékeken. Ez a naplóelemző eszköz, amely mostanában VMware Aria Operations for Logs néven fut, segít a hatalmas méretű alkalmazási és infrastrukturális naplók kezelésében nagyvállalati környezetekben.A hibát (CVE-2023-20864) a deszerializációs sebezhetőségként írják le, amelyet arra lehet felhasználni, hogy tetszőleges kódot fussunk le root-ként kompromittált rendszereken.
Sajnos a CVE-2023-20864 hibát könnyűt alacsony komplexitású támadásokkal lehet távolról kihasználni, amelyek nem igényelnek felhasználói interakciót, és az olyan eszközökön is kihasználható, amelyek nincsenek azonos hálózaton az érintett eszközökkel. Ezzel a hibával egyetemben a VMware kiadott egy másik biztonsági frissítést is (CVE-2023-20865), amely lehetővé teszi távoli támadók számára, hogy tetszőleges parancsokat hajtsanak végre root-ként adminisztrátori jogokkal. Mindkét sebezhetőséget a VMware Aria Operations for Logs 8.12 kiadásával javították. Nincs bizonyíték arra, hogy ezeket a biztonsági hibákat kihasználták volna azelőtt, hogy kijavították volna azokat.
"A CVE-2023-20864 egy kritikus hiba, amelyet az útmutatóban megadott utasítások szerint azonnal kell javítani. Fontos kiemelni, hogy csak a 8.10.2 verzió érintett ebben a sebezhetőségben (CVE-2023-20864)," - javasolja a VMware. "Más VMware Aria Operations for Logs (korábban vRealize Log Insight) verziók érintettek a CVE-2023-20865 hibával, de ennek alacsonyabb CVSSv3 pontszáma van: 7,2-es."
2023 év januárjában a VMware foltozott további két kritikus sebezhetőséget is (CVE-2022-31706 és CVE-2022-31704), amelyek ugyanerre a termékre vonatkoztak, és lehetővé tették a távoli kód végrehajtását, valamint olyan hibákat, amelyeket információlopásra (CVE-2022-31711) és szolgáltatás megtagadásos támadásokra (CVE-2022-31710) lehet kihasználni.
A januári hibajavítást követően egy héttel a Horizon3 támadócsapatának biztonsági kutatói PoC (Proof of Concept) kódot tettek közzé, hogy láncolják a négy hibából háromat, hogy segítsék a támadókat abban, hogy távolról, root-ként futtassanak kódot a szoftverfoltozatlan VMware vRealize eszközökön. Bár csak néhány tucat VMware vRealize példány nyilvánosan elérhető az interneten, mivel az ilyen eszközök csak a szervezetek belső hálózatából érhetők el általában. Azonban nem ritka, hogy támadók kihasználják a már kompromittált hálózatokban érintett eszközök sebezhetőségeit, így a megfelelően konfigurált, de sebezhető VMware eszközök értékes belső célpontok lehetnek.